Suite à la ‘légalisation’ du droit à l’oubli (Voir nos précédents articles ici et ici) Google a reçu 70’000 demandes durant le premier mois, dont 12’000 le premier jour. Les pays qui ont demandé le plus de retraits de lien sont la France (14’086), l’Allemagne (12’678), le Royaume-Uni (8’497), l’Espagne (6’176) et l’Italie (5’934). A présent, il y a en moyenne mille personnes qui demandent le retrait de liens de Google chaque jour via ce formulaire (Lien).

TOR est l’une des rares bêtes noires de la NSA. C’est un réseau complexe, chiffré, décentralisé, anonymisant qui s’étend sur des milliers de machines dans le monde. On le sait à présent, la NSA a essayé à maintes reprises de compromettre et d’abîmer le fonctionnement de TOR, tentatives qui malgré l’énorme puissance numérique de la NSA n’ont réussi qu’à faire légèrement trembler le réseau. Notamment, la NSA a créé des noeuds vérolés censés espionner le réseau et en affaiblir la qualité.
Pour contourner le problème, -et d’autres- la NSA utilise des ‘fingerprints’, c’est à dire qu’elle attribue des identifiants uniques à des utilisateurs d’internet lorsque ceux-ci ont certains critères : comme la visite de sites considérés comme terroristes. On vient d’apprendre que les sites de TOR et de TAILS (un système d’exploitation live basé sur TOR) étaient listés et que les internautes qui visitaient ces sites étaient fingerprintés par la NSA. Ceci ne devrait pas étonner grand monde et montre surtout que contre certains logiciels, même la NSA est démunie. Cette information ne provient pas d’Edward Snowden mais de journalistes allemands qui se sont basés sur les aveux de l’ex-espion pour creuser et découvrir de nouveaux scandales.

Nous créons finalement des pages sur les réseaux sociaux, c’est pour nous une occasion de rappeler les dangers que ceux-ci peuvent créer :

– Les photos que vous partagez sur les réseaux sociaux sont systématiquement scannées par des programmes qui fichent et alimentent des bases de données de reconnaissance faciale.

– La police et les fascistes peuvent utiliser les réseaux sociaux pour savoir qui fréquente telle personne, qui ‘aime’ tel mouvement, etc… Protégez votre profil et si vous animez des pages, groupes, communautés : protégez vos utilisateurs.

Notre page Facebook

Le Secours Rouge

On sait que 89’000 ‘cibles’ (personnes ou groupes) ont été visées par les FISA, lois spéciales autorisant l’espionnage de cibles étrangères hors du territoire américain. Ce rapport ne tient donc pas compte : des américains visées par les FISA « par inadvertence », des espionnages de pays entiers, des espionnages extra-légaux, des espionnages pratiquées directement sur des américains et tout à fait extra-légalement. Entre autres. Le rapport ne tient pas compte non plus des backdoors implantées dans la quasi-totalité des logiciels américains ainsi que les récoltes massives de données volées sur des serveurs privés.
Bref, ce rapport ne tient compte de rien en fait.

Il y a trois semaines, l’UE avait voté une loi obligeant Google à appliquer un droit à l’oubli. La firme américaine avait donc ouvert un site internet avec un formulaire qui permet à toute personne européenne de demander le retrait d’une page web. Des dizaines de milliers de demandes avaient été envoyées à Google dans les premières heures et les premiers résultats auraient été enlevés aujourd’hui.

Voir notre précédent article ici.
Accéder au formulaire de droit à l’oubli ici.

Depuis la fin du projet Truecrypt, trois équipes de développeurs ont mis en chantier des projets de forks (« embranchements », nouvelles versions basées sur l’ancien code). Les trois équipes sont Truecrypt.ch (alias TCNext), Veracrypt (un fork français) et CipherShed. Truecrypt.ch et Veracrypt ont annoncés joindre leurs efforts dans un projet commun. Pour rappel, suite à l’abandon du projet originel de Truecrypt, le logiciel de chiffrement le plus populaire au monde, un fork doit être développé assez rapidement. Celui-ci a la tâche difficile d’auditionner le code, de l’évaluer, de l’améliorer et de le publier.

Les travaux autour de Truecrypt sont rendus difficiles par un climat paranoïaque sur le net. Récemment des internautes ont prétendus révéler un message caché prouvant que Truecrypt était contrôlé par la NSA. De plus, l’ancienne équipe de Truecrypt a déconseillé de partir de l’ancien code et de ré-écrire depuis le début.

Vous pouvez suivre les avancées de Truecrypt.ch sur leur site officiel.

Truecrypt est depuis plusieurs années le logiciel de chiffrement de données le plus populaire au monde. Il est multiplateforme (Windows, OSX, Linux, Android), simple d’utilisation et surtout éprouvé. Malgré cela, plusieurs défauts avaient entachés sa réputation ces derniers mois : une équipe éventuellement américaine (et en tout cas anonymes), une communauté de codeurs trop réduites, un code très complexe à analyser, d’éventuelles failles implantées par la NSA, etc… La fin de cette saga : il y a quelques jours le site officiel annonce la fin de Truecrypt en faisant planer le mystère autour de son utilisation. On en sait maintenant un peu plus sur les nombreuses questions que les utilisateurs se posent. Nous avons ici synthétisé les questions les plus importantes.

Est-ce-que les conteneurs Truecrypt créés avant la fin officielle sont toujours sûrs ? Oui, ils le sont, tant que le mot de passe et le système d’exploitation sont sûrs.

Est-ce-que les conteneurs nouvellement créés avec Truecrypt seront aussi sûrs ? A priori oui. Aucune faille d’envergure n’a été découverte.

Quelle version de Truecrypt dois-je utiliser ? Il existe à présent deux versions officielles de Truecrypt. Truecrypt 7.1a et Truecrypt 7.2. Cette seconde mouture est la version ‘mourante’ du logiciel : vous ne pourrez pas créer de nouveaux conteneurs, juste ouvrir ceux déjà créés. Vous pouvez continuer à utiliser la version 7.1a à court-terme.

Que va-t’il se passer dans un avenir proche ? Truecrypt est un logiciel très puissant et extrêmement complexe. Le code de Truecrypt va à présent être ‘audité’, vérifié et amélioré par une nouvelle communauté de développeurs. La procédure aboutira à ce qu’on appelle « un fork », une version clonée de Truecrypt qui évoluera indépendamment des anciens développeurs. Ceci peut prendre du temps, nous posterons une info sur ce site lorsqu’une nouvelle version fiable sera disponible.

Comment se tenir au courant sur l’avancée du fork ?
– Site sur l’audit en cours
– Truecrypt.ch, l’un des projets de fork, en Suisse.

Que ne faut-il surtout pas faire ? Télécharger une version de Truecrypt provenant d’une source non-vérifiée et non-vérifiable. Si vous voulez télécharger Truecrypt 7.1a, téléchargez la depuis une source sécurisée comme le site de l’analyste Steve Gibson (ici)

Le logo de Truecrypt

Edward Snowden recherche toujours un moyen de passer de la Russie à l’Amérique Latine sans passer par la case prison. Au départ, celui-ci visait Cuba, mais la révocation de son passeport l’avait coincé en Russie. Ce dernier pays à fournit un statut de réfugié à Snowden pour un an, le temps que celui-ci trouve un éventuel moyen de rejoindre l’Amérique Latine ou plusieurs pays -Cuba, Equateur, Venezuela,…- lui promettaient un statut de réfugié politique ou humanitaire. Chacun de ses pays pourrait également tenter de négocier l’asile en échange de précieux documents confidentiels de la NSA, ce que Snowden refuse de négocier. La nouvelle destination serait donc le Brésil. Reste à trouver un moyen de se déplacer jusque là sans être intercepté par les services américains.

L’Union Européenne oblige désormais Google à fournir un droit à l’oubli aux personnes renseignées sur son moteur de recherches. Un formulaire est dés maintenant disponible en ligne et très simple d’utilisation. Toute personne peut demander un retrait sous certaines conditions (appréciation de la légitimité du contenu,…) Le formulaire est très simple à remplir, il faudra fournir nom, prénom, url en question, copie de la carte d’identité, raison de la demande, etc… Un avocat peut faire la demande à la place de son client.

Dans un premier temps, c’est Google qui gérera les demandes de suppression, il est possible que l’UE doive contribuer au traitement des données qui pourrait être énorme : 12’000 demandes ont déjà été faites.

Le remplissage du formulaire n’est que la première étape puisqu’il faudra attendre son tour et que Google évaluera si la demande est justifiée ou non.

Lien vers le formulaire

La page web officielle de Truecrypt a été modifiée hier soir et signale que Truecrypt a été compromis. La nouvelle page demande aux utilisateurs de migrer vers Bitlocker ou vers la solution officielle de Mac OSX, deux logiciels qui ont été infiltrés -entre autres- par la NSA.

Attention : ne migrez surtout pas. La page pourrait avoir été modifiée par un attaquant. La sécurité de Truecrypt avait déjà été mise en doute lors des scandales de Snowden. Le plus prudent est de ne pas mettre à jour Truecrypt, ne pas migrer vers un autre programme, voir ne pas utiliser Truecrypt : attendre et voir.

Nous resterons attentifs à l’évolution de la situation et vous conseillerons une éventuelle alternative pour le chiffrement de données.

EDIT : La page aurait bien été modifiée par l’équipe officielle de Truecrypt (qui a toujours été anonyme). Truecrypt a souvent été critiquée car open-source mais non-libre. En outre, son code était public mais trop complexe pour être vérifié. Enfin, l’anonymat de son équipe posait de gros problèmes de sécurité, entre autres de savoir si le logiciel était américain ou non.

Des tutoriels seront fournis bientôt pour chiffrer des données sans Truecrypt, en attendant vous pouvez utilisez les logiciels suivants :

Sous Linux : Utilisez le logiciel de chiffrement fournis dans l’Utilitaire de Disques.

Sous Windows : Utilisez Axcrypt

Sous Mac OSx : Il n’y a malheureusement pas d’alternative pour Mac à l’heure actuelle.

Sous Android : Vous pouvez utilisez Cryptonite